Segundo a revista Geek, o Pirate Bay, um dos mais populares e polêmicos sites de apoio à tecnologia BitTorrent e transmissão de arquivos .torrent foi invadido e teve seu banco de dados roubado.

No banco de dados estavam informações de registro de usuários, utilizado para enviar conteúdo e comentar em cada um dos arquivos hospedados em seus servidores.

A invasão, confirmada no blog do ThePirateBay, não deve afetar os usuários do sistema, já que os responsáveis pelo portal utilizam criptografia pesada em seus dados.

No entanto, o site recomenda aos usuários mudarem suas senhas de acesso ao serviço o mais rápido possível, e caso esta seja utilizada para autenticação entre outros servidores, que sejam mudadas neles também.

O site, que sofreu a invasão através do blog, ainda se desculpa pelo problema, afirmando ser feito por humanos e não estar livre deste tipo de ocorrências, mas diz que já sabe quais foram os responsáveis, embora não tenha mencionado abertamente seus nomes.

O grupo sueco de hackers AUH (ou Arga Unga Hackare, "Furiosos Jovens Hackers", na tradução), teria confirmado o ataque e o roubo da lista com 1,6 milhão de nomes de usuários e senhas do portal. Este mesmo grupo ficou famoso em 2005, ao vandalizar o site da agência anti-pirataria sueca.

Mesmo com o ataque, o ThePirateBay possui uma imensa empatia da comunidade hacker, e tem como maiores adversários a indústria de software , de música e também a indústria cinematográfica, por hospedar arquivos que referenciam a downloads piratas e não ceder à qualquer pressão para retirá-los do ar, ironizando e publicando online cada carta com ordem de cessação recebida.

Computadores completos em promoção!

O hacker francês apelidado Marsu divulgou duas demonstrações para exploração de falhas de populares programas: entre eles os editores de imagem Photoshop, da Adobe, e Paint Shop Pro, da Corel, além do popular tocador multimídia Winamp, da Nullsoft (divisão da AOL).

Uma sobrecarga crítica de buffer no aplicativo Winamp, graças a um erro no módulo libmp4v2.dll, pode ser causada aparentemente por um arquivo de vídeo MP4 malicioso e, assim, oferecer ao hacker a possibilidade de execução de código arbitrário.

Em declaração ao site “heise Security”, Marsu afirmou que a demonstração funciona de modo não confiável e que é extremamente direcionada, já que cada versão diferente de Winamp exigiria um arquivo MP4 com um código diferente, caso contrário o arquivo apenas travaria o programa.

A vulnerabilidade foi testada nas versões 5.34 e 5.33, sob o sistema Windows XP com Service Pack 2 instalado e não há atualmente correção para ela. Segundo o site SC Magazine, a AOL afirmou já estar trabalhando para resolver o problema.

Após ter encontrado as vulnerabilidades no processamento de imagens BMP, o hacker francês também descobriu que os programas Photoshop e Paint Shop Pro podem causar uma sobrecarga de buffer ao tentar abrir um arquivo PNG malformado.

Em um exemplo, Marsu demonstrou como é possível fazer com que um arquivo PNG abra a calculadora padrão do Windows. Por utilizar códigos do projeto Metasploit seria fácil, inclusive, que outro hacker pegasse a demonstração e transformasse-a em malware real, afirmou o site “heise Security”.

A vulnerabilidade foi confirmada nas versões CS2, CS3 e Elements 5.0 do Adobe Photoshop, enquanto apenas a versão 11.20 do programa Paint Shop Pro, da Corel, parece ser afetada.

Mas, vulnerabilidades do gênero não afetam apenas programas caros: a ferramenta de código aberto Gimp possui uma vulnerabilidade semelhante lidando com arquivos RAS. Já o visualizador de imagens, também gratuito, IrfanView apresenta falhas no processamento do formato IFF.

Até o momento, nenhuma atualização para os problemas listados por Marsu foi lançada, e a recomendação é sempre a mesma: ser cuidadoso ao abrir arquivos recebidos via email ou por programas de transferência de dados de fontes não confiáveis.

Fonte: Terra

Computadores completos em promoção!

A Panda pôs no ar um novo site para detecção de vírus online. É o Nano Scan, que ainda está em beta teste.

O NanoScan é interessante para quem vai usar um micro estranho – por exemplo, num cibercafé ou outro lugar público. Antes de digitar senhas ou qualquer informação sigilosa, pode-se entrar no endereço do NanoScan e verificar como está a máquina.

Leia na Info detalhes do teste que fizeram com o novo aplicativo.

Computadores completos em promoção!

Crackers desenvolveram uma nova técnica para quebrar a criptografia de uma rede sem fio segura WEP de 104-bits em menos de um minuto. A vulnerabilidade em redes Wi-Fi que utilizam este padrão já era conhecida há cerca de um ano, só que agora é necessário apenas um décimo do número de pacotes usado para explorar a falha, tornando a invasão muito mais rápida.

Segundo o site The Register, a técnica provê 50% de chance de conseguir a chave em cerca de 1 minuto rodando sob uma rede 802.11g em velocidade máxima e com a captura de 40 mil pacotes. Dobrando o período de captura de pacotes necessários para a análise e quebra da proteção, a chance aumenta para 95%.

Os pesquisadores Erik Tews, Ralf-Philipp Weinmann e Andrei Pyshkin, da Universidade Técnica de Darmstadt, na Alemanha, explicaram que após a captura dos pacotes, em apenas três segundos de processamento em um computador padrão é possível revelar a chave.

Conforme ataques anteriores, a quebra do código é feita na exploração de falhas na criptografia RC4, conhecida desde 2001. Há seis anos matemáticos mostraram a ineficiência do protocolo, mas o ataque era trabalhoso e requeria a interceptação de 4 milhões de pacotes de dados para que a chave fosse descoberta, conforme noticiou o site PC World.

Como recomendação está o uso de uma rede com padrão de criptografia WPA, que é mais resistente aos ataques, embora utilizado com menos freqüência do que o popular padrão WEP.

Outros métodos incluem uso de um sistema de detecção de intrusão no sistema (IDS), que revelaria as inúmeras tentativas de obtenção de pacotes através de requisições ARP; ou confundir os hackers escondendo a chave real em meio a inúmeras outras inválidas.

O estudo completo pode ser acessado em PDF através deste site.

Fonte: Terra

Computadores completos em promoção!

Começa nesta segunda-feira (02/04) e vai até quarta-feira (04/04) a sexta edição do Security Week Brasil, um dos principais eventos de segurança da informação e gerenciamento de risco, no Transamérica Expo Center, em São Paulo.

A Security Week é organizada pela Via Forum, que estima receber durante os três dias aproximadamente 3 mil pessoas, sendo a maioria profissionais de TI e gestores da segurança da informação. O cronograma deste ano prevê a realização de diversas palestras com especialistas brasileiros e internacionais. Entre eles, Anchises De Paula, da VeriSign; Maurício Gaudêncio, da Cisco; Gilberto Netto, do Serpro; Ana Cláudia, da Microsoft; Leonardo Scudere, da CA; Ivan Alcoforado, da Accenture; Luiz Nanini, da 3Com; Sérgio Basílio, da Symantec; Herberto Yamamuro, da Nec; Márcio Lebrão, da McAfee; Hermann Pais, da EMC; Carlos Guimarães, da Sun Microsystems; Rogério Moraes, da ISS; Adalberto Salles, da Medidata; Marcus Moraes, da Allog; e Gustavo Souza, da Disec.

Entre as personalidades internacionais estão Tom Patterson, autor do livro Mapping Security e criador do Mapping Security Index (MSI), indicador mundial para medir o risco dos países e auxiliar o planejamento das multinacionais. Durante o Security Week Brasil, o executivo fará uma adaptação dessas métricas, baseadas nas empresas brasileiras.

Em paralelo às palestras, a organização prevê ainda a realização de pequenos cursos com os convidados internacionais. De acordo com Robert Janssen, CEO da Via Forum, essa é a melhor oportunidade de conhecimento para os profissionais brasileiros. O tema do evento é Jogos Pan-Americanos, que será sediados este ano no Brasil. Segundo Janssen, a competição é a definição que melhor representa o esforço realizado diariamente pelas empresas do mundo inteiro para garantir a confiabilidade, segurança e precisão do ativo mais importante da economia do século 21: o conhecimento.

Anote na sua agenda:

Evento: Securtity Week Brasil 2007
Data: 2 a 4 de abril de 2007
Local: Transamérica Expo Center
Endereço: Avenida Dr. Mário Villas Boas Rodrigues, 387 – Santo Amaro
Inscrições SecFin: Apenas para convidados

Fonte: Serpro, WNews

Computadores completos em promoção!